La transizione tecnologica in atto produce effetti profondi e trasversali sulle organizzazioni. Se il dibattito tende oggi a concentrarsi, anche per effetto di una significativa amplificazione mediatica, sull’impatto dell’intelligenza artificiale, l’esperienza quotidiana a fianco di imprese e funzioni HR evidenzia come un ambito altrettanto – se non più – critico sia rappresentato dalla cybersecurity.
In questo perimetro convergono temi strategici quali la gestione del rischio, la salvaguardia della competitività, l’evoluzione dei processi e, non da ultimo, lo sviluppo delle competenze e dei modelli di attraction e formazione dei talenti.
Indice degli argomenti
Consapevoli ma non strutturati: il paradosso delle imprese italiane
Tuttavia, c’è un elemento che emerge con sempre maggiore evidenza: sulla cybersecurity le aziende italiane sono consapevoli, ma non ancora strutturate. La sicurezza informatica è stabilmente entrata nelle priorità dei vertici aziendali. I rischi sono chiari, così come gli impatti economici e reputazionali. Eppure, questa consapevolezza non si traduce ancora in scelte davvero efficaci. Nella maggior parte dei casi, infatti, la cybersecurity continua a essere affrontata prevalentemente come una questione tecnologica, centrata sull’adozione di strumenti e infrastrutture sempre più avanzati.
Il fattore umano: la vera vulnerabilità da presidiare
Dal nostro osservatorio privilegiato emerge invece un quadro differente: la dimensione umana, organizzativa e culturale rappresenta oggi un fattore determinante.
Il disallineamento tra percezione del rischio e reale capacità di presidio risulta quindi evidente e ciò trova riscontro anche nei dati emersi dal report realizzato da Grafton, “Il paradosso della cybersecurity. Competenze emergenti, vulnerabilità strutturali e nuovi modelli organizzativi”*. Il 61% degli incidenti è riconducibile a errori umani, mentre il 50% è legato a una formazione insufficiente sui rischi digitali.
A dircelo sono gli specialisti IT, intervistati e con cui ci confrontiamo nella nostra attività di recruitment, secondo cui il tema non è solo legato alla gestione tecnica degli attacchi, ma alla capacità di riconoscere i rischi nella quotidianità: quasi 1 lavoratore su 2 non è in grado di individuare i segnali più evidenti di phishing. Un dato che migliora tra gli under 34, ma peggiora sensibilmente nelle fasce più senior, riflettendo un divario ancora marcato nella cultura digitale del Paese.
Anche i decision maker confermano questa criticità: il 41% ritiene che l’errore umano incida in modo significativo sulla sicurezza aziendale e il 78% valuta la preparazione dei dipendenti sul phishing come solo parziale.
Investimenti sbilanciati: tecnologia prima, persone dopo
Non stupisce quindi che, sempre dallo studio che abbiamo condotto per approfondire queste dinamiche, solo il 16% delle aziende si considera effettivamente all’avanguardia nella gestione della cybersecurity.
Eppure, nonostante questa evidenza, le scelte di investimento continuano a muoversi in un’altra direzione: si investe in tecnologia, ma non nelle competenze, nonostante il fattore umano rappresenti una delle principali aree di vulnerabilità e i dati lo confermano. Oggi oltre la metà delle risorse destinate alla cybersecurity (56%) viene assorbita da soluzioni tecnologiche, mentre solo il 18% è destinato alla formazione e appena il 10% all’assunzione di nuovi specialisti.
Profili specializzati: una risorsa scarsa e difficile da valutare
Le competenze rappresentano un fattore determinante nei processi di trasformazione tecnologica e assumono un ruolo altrettanto centrale anche nell’ambito della sicurezza informatica. Si tratta di un tema che coinvolge l’intera popolazione aziendale, richiedendo una diffusione trasversale di conoscenze e capacità operative, ma allo stesso tempo, emergono esigenze particolarmente rilevanti per specifici profili professionali, in particolare quelli con una forte specializzazione tecnologica.
Si tratta di figure sempre più orientate non solo all’utilizzo avanzato degli strumenti, ma anche alla loro integrazione nei processi aziendali con un focus crescente sulla dimensione della cybersecurity.
La carenza di talenti ICT nel mercato italiano
Profili che nel nostro Paese sono limitati. A complicare ulteriormente il quadro, infatti, è la carenza di professionisti qualificati che rileviamo nel mercato. Quello ICT è sicuramente un settore in cui la domanda cresce più rapidamente dell’offerta e la competizione per attrarre e trattenere i talenti è molto alta.
Queste criticità risultano ancora più marcate nel campo della cybersecurity, dove il livello di specializzazione richiesto è più elevato e il numero di profili disponibili è ancora più ristretto. E spesso il vero nodo della questione non è solo quantitativo, ma anche qualitativo. Se registriamo che oltre l’85% delle funzioni HR segnala difficoltà nella ricerca di profili ICT, abbiamo anche un 84% degli HR che evidenzia difficoltà nel verificare le reali competenze tecniche durante i processi di selezione.
La cybersecurity è un ambito ad alta specializzazione, in cui la valutazione delle competenze richiede strumenti e conoscenze specifiche per distinguere tra competenze dichiarate ed effettive dei candidati, ma anche per identificare con precisione i reali fabbisogni dell’azienda. In questo contesto di elevata competitività del mercato e di difficoltà, da parte delle aziende stesse, nel valutare le competenze di candidati e candidate, il ruolo delle società di ricerca e selezione diventa sempre più rilevante.
Formazione e governance: le due leve per superare il paradosso
Non solo, se il punto di debolezza è umano, anche le risposte devono tenerne conto, rafforzando la capacità delle persone di prevenire, riconoscere e gestire i rischi, integrando competenze, processi e tecnologie in modo coerente.
Un altro ambito di intervento riguarda la formazione, che emerge come una necessità condivisa ma ancora sottoutilizzata. Il punto non è solo “fare più formazione”, ma cambiarne l’approccio: i risultati sui test di phishing mostrano che quasi un lavoratore su due non riconosce segnali evidenti di rischio, segno che la criticità non è teorica ma comportamentale. In questo senso, programmi basati su simulazioni realistiche e su contesti operativi concreti possono contribuire a ridurre in modo significativo l’esposizione agli attacchi.
Accanto alla formazione, è ormai chiara la necessità di un’evoluzione sul piano della governance. La cybersecurity continua a essere riconosciuta come una responsabilità diffusa, ma questa consapevolezza non si traduce ancora in un assetto realmente equilibrato all’interno delle organizzazioni, dove continua a essere gestita prevalentemente come una funzione tecnica, mentre gli impatti – operativi, reputazionali e strategici – riguardano l’intera organizzazione. Integrare la sicurezza nei processi decisionali e nelle responsabilità manageriali diventa quindi una condizione essenziale per rendere efficaci anche le soluzioni tecnologiche.
L’intelligenza artificiale come alleata nella difesa cyber
Un ulteriore elemento chiave è rappresentato dall’intelligenza artificiale, sempre più centrale nelle strategie di difesa. Secondo il World Economic Forum, il 66% dei partecipanti al Global Cybersecurity Outlook la considera la tecnologia con il maggiore impatto sulla cybersecurity.
L’AI può supportare le organizzazioni proprio nei punti di maggiore fragilità, intercettando anomalie e comportamenti a rischio che sfuggono alla valutazione umana.
Persone, competenze e governance: il nuovo equilibrio della sicurezza
Nel loro insieme, queste leve delineano una direzione chiara: superare i paradossi della cybersecurity significa spostare il baricentro dagli strumenti alle persone, costruendo un equilibrio tra tecnologia, competenze e governance.
È su questo equilibrio che si gioca oggi la capacità delle organizzazioni di affrontare in modo efficace rischi sempre più complessi.
*L’indagine svolta da Excellera Intelligence per GRAFTON è stata realizzata tramite interviste online CAWI, somministrata a cinque target coinvolti a diverso titolo nella gestione della cybersecurity. Sono stati intervistati 148 decision maker aziendali non IT, 103 IT specialist, 100 professionisti HR operanti in aziende dotate di una funzione ICT strutturata e 482 lavoratori hanno partecipato a un modulo dedicato al phishing. Accanto alla componente quantitativa, la ricerca ha incluso 12 esperti di cybersecurity.
